Поделиться
Переобувшиеся: известная группировка кардеров-мошенников переключилась на полноценный кибершпионаж
Группировка XE Group начала использовать уязвимости нулевого дня и их комбинации для обеспечения себе длительного доступа в интересующие их системы. Начинала она с куда более скромной деятельности.
Главное - своевременность
Эксперты ИБ-компании Intezer и Solis Security обнаружили, что хакерская группировка XE Group, прежде «прославившаяся» мошенничествами с кредитными картами, сменила курс и теперь занимается куда более продвинутыми кибератаками.
На текущий момент члены XE осуществляют целевое хищение информации, используя комбинации уязвимостей в различных программных пакетах, в том числе, ASP.NET AJAX и Advantite VeraCore. Эти проблемы группировка использует для установки обратных и веб-шеллов, тем самым обеспечивая себе постоянный удаленный доступ к скомпрометированным системам.
В частности, в последнее время злоумышленники активно используют комбинацию из двух уязвимостей, для одной из которых, кстати, до сих пор нет патча: CVE-2024-57968 и CVE-2025-25181.
Первая из них относится к максимально критическому диапазону - 9,9 баллов по шкале CVSS. Этот «баг» в VeraCode допускает загрузку файлов небезопасных типов, так что прошедшие аутентификацию пользователи могут загружать их в произвольные каталоги. Проблема устраняется обновлением 2024.4.2.1.
Уязвимость CVE-2025-25181 относится к среднему диапазону опасности (5,8 балла), но к ней еще нет патча. Сама по себе эта уязвимость допускает удаленную SQL-инъекцию, так что программное решение можно заставить выполнять произвольные SQL-команды.
Члены XE Group используют комбинацию этих уязвимостей для установки веб-шеллов ASPXSpy.
Обращает на себя внимание тот факт, что XE эксплуатирует CVE-2025-25181 уже с начала 2020 г. Сами же атаки впервые обратили на себя внимание экспертов только в ноябре 2024 г. Таким образом, XE в течение почти пяти лет успешно атаковала свои цели, оставаясь незамеченной.
Игра вдолгую
Указанные веб-шеллы обладают рядом вредоносных функций: они позволяют нумеровать файловую систему, выводить файлы, предварительно сжимая их с помощью архиватора 7z и тому подобных.
Кроме того, шелл используется для подгрузки Meterpreter - набора инструментов для пентестеров (входит в Metasploit), который пытается подключиться к серверу под контролем злоумышленников (222.253.102.94:7979) через сокет Windows.
Шелл позволяет также сканировать локальную сеть, выполнять команды и запускать SQL-запросы для вывода или модификации критических данных.
Как отмечают исследователи, XE Group в прошлом уже успешно эксплуатировала известные уязвимости, такие как CVE-2017-9248 и CVE-2019-18935 (9,8 балла по шкале CVSS, затрагивают интерфейс Telerik UI для ASP.NET), однако речь впервые идет об уязвимостях нулевого дня.
«Способность обеспечивать устойчивый доступ к системам, о чем свидетельствует реактивация веб-шеллов спустя годы после изначального проникновения, указывает на то, что группа [XE] ведет стратегическую игру с долгосрочными целями» — говорится в исследовании. «Атакуя цепочки поставок в производственном секторе и сфере дистрибуции, XE Group не только добивается максимальной результативности, но и демонстрирует острое понимание системных уязвимостей».
Группировка XE Group считается вьетнамской по своему происхождению. Она активна примерно с 2013 г.
«То, что группа перешла от довольно заурядного киберкриминала к полномасштабному кибершпионажу может указывать на то, что ее участники теперь работают на какие-либо спецслужбы, причем скорее добровольно, чем нет» — считает Анастасия Мельникова, директор по информационной безопасности компании SEQ.
С другой стороны, по мнению эксперта, фактически любая опытная кибергруппировка на сегодняшний день может рассматриваться как своего рода «вооруженное соединение», в киберпространстве, вне зависимости от своей базовой мотивации.
Поделиться
Короткая ссылка
